Crypto key de stockage et de récupération – les meilleures pratiques?

Nous avons un tas de SSH, GPG, SSL et d'autres keys privées qui, évidemment:

  • doit seulement être disponible pour le plus petit nombre possible de personnes
  • ne peut pas être "perdu" si un disque dur décède ou que le bâtiment est éteint (car beaucoup de données seraient indescifrables)
  • doit être récupérable même si le gars en charge est malade ou est touché par le bus ou résiste à une augmentation de un million de dollars

Quelles sont les meilleures pratiques ici? Est-ce que vous les stockez sur un tas de keys USB flash dans un coffre-fort? Est-ce que vous faites des copys? Combien de copys, et comment s'assurer qu'elles restnt en synchronisation (les keys expirent, sont remplacées, les nouvelles keys sont ajoutées etc.) Les cryptes-tu? (avec quoi, et comment démarrez-vous?)

Je n'ai pas réussi à présenter des informations pratiques utiles, donc je suis intéressé par toutes les expériences, bonnes, mauvaises, etc., dont nous pourrions apprendre.

De plus, existe-t-il un logiciel open-source qui consortingbue à cela?

One Solution collect form web for “Crypto key de stockage et de récupération – les meilleures pratiques?”

Ici, pour le travail quotidien, nous avons l'authentification Kerberos, il est très utile, par exemple, si vous souhaitez vous connecter en tant que root avec un file .k5login dans / root.

Bien sûr, si le keytab ou un autre problème se produit, nous avons un file crypté GPG sur un référentiel SVN. Mais si vos passwords racine sont modifiés automatiquement de manière régulière, un file GPG pourrait ne pas suffire.

J'ai rencontré SFLVault l'autre jour; Je ne l'ai pas encore testé, mais il semble être un outil assez puissant. Il devrait être utile de lui donner un essai

J'espère que cela aide 🙂

  • Créer une paire de keys publiques privées pour certificate dans IIS
  • Affichage des détails d'un certificate SSL distant à l'aide d'outils CLI
  • Recherché: parsingur de certificate SSL
  • configuration manquante dans apache pour get l'authentification SSL mutuelle
  • Problèmes avec un certificate SSL auto-signé pour SSTP dans Windows Server Foundation 2008
  • Installation de certificate ssl sur Tomcat
  • Chiffrivons l'incompatibilité des noms sur un certificate SSL
  • Configuration Nginx, 443 ouverte mais pas de réponse sur https: //
  • inconnu type RR 'CAA' - named-checkzone
  • Certificat du server RSA CommonName (CN) `MYSERVER 'ne correspond PAS au nom du server
  • Remplacer le certificate ssl en bundle
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de réseau.